Новая версия iOS 14 получила улучшенные настройки конфиденциальности. Система поддерживает функцию оповещений, которая уведомляет пользователя каждый раз, когда какое-то приложение собирает данные о пользователе и планирует поделиться ими с разработчиком.
Это же относится к скопированным данным из буфера обмена. Как оказалось, TikTok делает такое практически постоянно вне зависимости от того, чем занимается пользователь.
Отметим, что современные устройства Apple — iPhone, iPad и Macbook — объединены функцией универсального буфера обмена. То есть девайсы с одним и тем же Apple ID в расположении нескольких метров друг от друга могут читать данные из буфера. Это удобно, когда пользователю нужно скопировать что-то с одного устройства на другое. Однако с точки зрения безопасности есть проблемы.
К сожалению, удобство часто является врагом безопасности криптовалют
Упомянутые эксперты Миск и Бакри определили более 50 приложений, которые читают данные из буфера обмена. В этот список входят как популярные приложения вроде TikTok, так и новостные программы вроде New York Times или CBS News.
В марте стало известно, что разработчики TikTok планировали исправить проблему, но в итоге так ничего и не сделали. На прошлой неделе представитель TikTok сообщил сотрудникам Ars Technica, что функция была реализована в качестве меры по борьбе со спамом, и что обновленная версия приложения без обратного вызова буфера обмена уже была представлена в App Store для одобрения.
После релиза операционной системы iOS 14 на прошлой неделе стало ясно, что многие приложения считывают личные данные из буфера обмена пользователей даже без чёткой надобности. То есть если владелец устройства держал скопированной какую-то важную информацию, разработчики используемой программы могли её прочесть. Это заставляет задуматься о необходимости работы с криптовалютами и прочими важными данными на смартфоне.
Эта скрытая функция уже несколько месяцев как замечена многими энтузиастами. Ещё в марте этого года исследователи Томми Миск и Талал Хадж Бакри рассказали, что очень популярное приложение TikTok постоянно собирает данные из буферов обмена iOS и iPadOS, причём даже когда пользователь не работает с текстом. Как отметили эксперты издания Ars Technica, утечка данных из буфера обмена мобильного устройства может раскрыть данные о Биткоин-кошельках пользователя или другую важную финансовую информацию.
Нужно всегда думать о безопасности своих криптовалют
Однако это только одна программа, но как быть с другими? Вывод очевиден: если вы пользуетесь девайсами Apple, настоятельно советуем вам не хранить на них свои криптовалютные кошельки, не копировать пароли для входа на биржу и тем более не вводить мнемонические фразы. Возможно, разработчики некоторых известных приложений дорожат своей репутацией и не будут проводить никакие манипуляции с чужими аккаунтами на биржах и криптовалютными адресами. Однако нельзя быть уверенным в каждом проекте, вдобавок в них работает масса сотрудников со своими проблемами и взглядами на жизнь.
Отметим, что для обеспечения максимального уровня безопасности при работе с криптой нужно пользоваться изолированным устройством. Для этой цели отлично подойдут аппаратные кошельки или бумажное хранилище.
Также не забывайте, что пароли к вашим аккаунтам на биржах, мнемонические фразы и многие другие секретные комбинации должны быть известны только вам. Не вводите их в подозрительных приложениях, то же самое касается обычного ввода комбинаций в том же приложении заметок и их дальнейшего копирования. Всё это может стоить вам потери криптовалют. Подобное случалось с десятками тысяч людей, причём некоторые из них разбираются в деталях безопасного хранения монет.
Мы считаем, что разработчиков заботит рост популярности своих приложений и сервисов — и именно для этого они собирают и анализируют содержимое буфера обмена владельцев смартфонов. Однако криптовалюты не прощают ошибки в безопасности, поэтому лишний раз рисковать не стоит. Как мы уже знаем, человек может накопить 12 биткоинов, а потом мгновенно их потерять после загрузки не того приложения.
Так что рекомендуем не сохранять в буфере обмена любые важные комбинации. То же самое касается обычных приложений на смартфоне и тем более облачных хранилищ. Некоторые хакеры после взлома ищут в файлах пользователя как раз приватные ключи.
